Worm.Win32.CONUSTR.AMZ
Windows
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %User Temp%\conhost.exe
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
ワームは、以下のファイルを作成し実行します。
- %User Temp%\ppxxxx – contains registry data to be added to the machine
- %User Temp%\must.bat – contains commands used to gather information
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
ワームは、以下のプロセスを追加します。
- %User Temp%\conhost.exe
- regini.exe %User Temp%\ppxxxx
- cmd /c %User Temp%\must.bat
- net user
- net localgroup administrators
- net start
- netstat -ano
- tasklist
- ipconfig /all
- arp -a
- systeminfo
- net use
- net view
- net view /domain
- net user /domain
- %System%\xcopy.exe /d /c /i /h /r /y %User Temp%\WPDNSE\*.NLS {Removable Drive Letter}\RECYCLER\
- %System%\xcopy.exe /d /c /i /h /r /y %User Temp%\Media\*.ldf {Removable Drive Letter}\RECYCLER\
- %System%\xcopy.exe /d /c /i /h /r /y {Removable Drive Letter}\RECYCLER\*.NLS %User Temp%\WPDNSE\
- %Program Files%\winrar\rar.exe u -apC -ed -tk -dh -hpThisTw0Piece -ta{Current Date} %User Temp%\WPDNSE\{Random}.NLS "%User Temp%\winword4.doc"
- %Program Files%\winrar\rar.exe u -apF -r -ed -tk -dh -sl5000000 -hpThisTw0Piece -ta{Current Date} %User Temp%\WPDNSE\{Random}.NLS {Available Fixed/Removable Drive Letter}\*.doc {Available Fixed/Removable Drive}\*.docx {Available Fixed/Removable Drive Letter}\*.pdf {Available Fixed/Removable Drive Letter}\*.mvd {Available Fixed/Removable Drive Letter}\*.tif {Available Fixed/Removable Drive}\*.xls {Available Fixed/Removable Drive Letter}\*.xlsx
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
ワームは、以下のフォルダを作成します。
- {Removable Drive Letter}:\RECYCLER
- %User Temp%\WPDNSE
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile
NeverShowExt = ""
ワームは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
Load = "%User Temp%\conhost.exe"
(註:変更前の上記レジストリ値は、「""」となります。)
感染活動
ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Removable Drive Letter}\{Existing Foldername}.exe
- {Removable Drive Letter}\RECYCLER\Dcfly.exe
作成活動
ワームは、以下のファイルを作成します。
- %User Temp%\WPDNSE\{random filename}.NLS - password protected archive file containing gathered information
- {Removable Drive Letter}\RECYCLER\{random filename}.NLS
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
情報漏えい
ワームは、以下の情報を収集します。
- System Date
- OS information
- List of user accounts
- List of administrator users
- Running Services
- Active TCP connections
- Running applications and services
- Full network configuration for all adapters
- Contents of the ARP cache
- System Information
- List of network connections
- List of computers in the current domain
- List all domains in the network
- List of all users of each domain
- List of files and directories of drives C:\, D:\, E:\, F:\, G:\, H:\, I:\
- SQL log files (.ldf) from %User Temp%\Media\
- Files in active root drives with the following extensions: .docx, .pdf, .mvd, .tif, .xls, .xlsx
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
情報収集
ワームは、以下のファイル内に収集した情報を保存します。
- %User Temp%\winword4.doc
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
注意:
ワームは、フォルダアイコンを使用して自身を偽装します。 - ワームは、リムーバブルドライブの元のフォルダ名を使って自身のコピーを作成します。次に、元のフォルダを非表示にして、作成した自身のコピーをユーザにクリックさせようと試みます。 - ワームは、作成するアーカイブファイルのパスワードに「ThisTw0Piece」を使用します。
<補足>
インストール
ワームは、以下のファイルを作成し実行します。
- %User Temp%\ppxxxx – 感染したコンピュータに追加されるレジストリデータを含む
- %User Temp%\must.bat – 情報収集に用いられるコマンドを含む
感染活動
ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。
- {ドライブレター}\{存在するフォルダ名}.exe
- {ドライブレター}\RECYCLER\Dcfly.exe
作成活動
ワームは、以下のファイルを作成します。
- %User Temp%\WPDNSE\{ランダムなファイル名}.NLS - 収集された情報を含むパスワードで保護されたアーカイブファイル
- {ドライブレター}\RECYCLER\{ランダムなファイル名}.NLS
情報漏えい
ワームは、以下の情報を収集します。
- コンピュータデータ
- オペレーティングシステム(OS)の情報
- ユーザアカウントのリスト
- 管理者権限を持つユーザのリスト
- 実行中のサービス
- アクティブなTCP接続
- 実行中のアプリケーションおよびサービス
- すべてのアダプタの完全なネットワーク設定
- ARP(Address Resolution Protocol)キャッシュのコンテンツ
- コンピュータ情報
- ネットワーク接続のリスト
- 現在のドメイン内のコンピュータのリスト
- ネットワーク内のすべてのドメインのリスト
- 各ドメインのすべてのユーザのリスト
- C、D、E、F、G、H、Iドライブのファイルおよびディレクトリのリスト
- %User Temp%\Media\からのSQLログファイル(拡張子LDF)
- 次の拡張子を持つアクティブなルートドライブ内のファイル:.docx、.pdf、.mvd、.tif、.xls、.xlsx
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
- NeverShowExt = ""
- NeverShowExt = ""
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
- From: Load = "%User Temp%\conhost.exe"
To: Load = ""
- From: Load = "%User Temp%\conhost.exe"
手順 6
以下のファイルを検索し削除します。
- %User Temp%\winword4.doc
- %User Temp%\must.bat
- %User Temp%\ppxxxx
手順 7
以下のフォルダを検索し削除します。
- {Removable Drive Letter}:\RECYCLER
- %User Temp%\WPDNSE
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Worm.Win32.CONUSTR.AMZ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください